Hay que ver la seguridad como un proceso de mejora continua

Su carrera profesional ha estado ligada al ámbito de la seguridad. Comenzó su trayectoria en CRISA —ahora perteneciente a Airbus Defence and Space—. Ya en HP ocupó diferentes puestos relacionados con las áreas de consultoría, desarrollo de negocio o preventa, tanto para Iberia como para EMEA. Con la reorganización iniciada por HPE, se ha incorporado al Global Security CoE (Center of Excellence) en HPE Pointnext, la división de servicios de Hewlett Packard Enterprise, con una doble función de Security Strategist y líder de seguridad para Sur de Europa, Oriente Próximo, África y Europa Oriental.

¿La transformación digital afecta también a la seguridad?

Estamos viviendo una revolución que está trayendo transformaciones importantes en los modelos de negocio, en el modo en el que se interactúa con los productos o servicios… La seguridad es un aspecto más, aunque, evidentemente, está acaparando un protagonismo especial.

Debido a esa transformación, los negocios tienen una alta dependencia de los sistemas de TI para realizar sus funciones. Si estos no funcionan, los procesos de negocio mueren. De esta forma, la seguridad es fundamental y, como parte de ella, los aspectos de confidencialidad, integridad, disponibilidad o resiliencia.

En este contexto, el mayor reto al que se enfrentan las compañías es el de gestionar un incidente de seguridad de manera proactiva, manteniendo al mismo tiempo la recuperación del negocio. No estoy hablando de un virus, sino de intrusiones que afecten a toda la organización, del robo de millones de registros de usuarios… Esos incidentes están a la orden del día y me consta que es algo que está en el comité de dirección de las empresas. Aunque tradicionalmente han existido planes específicos para acometer determinadas situaciones, estos comités de crisis se han centrado más en la parte de operaciones de negocio. Ahora, la seguridad se ha convertido en un aspecto fundamental y el rol del CISO, o responsable de seguridad, se ha vuelto imprescindible.

La respuesta pasa por ser capaces de hacer evolucionar las arquitecturas de seguridad para hacer frente a las nuevas tendencias que trae consigo la transformación digital: hybrid IT,  big data, mobility, intelligent edge, IoT… Nuevos paradigmas de seguridad que hay que saber abordar.

Se trata de evolucionar las arquitecturas de seguridad para hacer frente a las nuevas tendencias

¿Qué papel debería tener en este escenario?

Ha pasado de ser un aspecto más en la gestión de TI, algo puramente tecnológico, a tener cierta relevancia. Cada vez más, los CISO forman parte de los comités de dirección y de crisis, en respuesta a la relevancia que para el negocio puede tener un incidente de seguridad.

Esa lucha entre buenos y malos siempre va a existir. Tan pronto aparece una tecnología, alguien va a intentar buscar los puntos débiles o las vulnerabilidades. Es una carrera continua, en la que muchas veces es difícil incorporar los mecanismos de protección a la velocidad necesaria. Además, muchas veces esto implica realizar cambios en procesos que son difíciles de transformar, porque afectan de forma masiva a los usuarios o incluso a la sociedad; algo, evidentemente, inviable. El ejemplo más cercano es la vulnerabilidad que ha aparecido en los procesadores de Intel.

Esto está pasando también en las OT (operation technologies), las redes privadas que dan servicio a las utilities, las telcos o los sistemas de información para la gestión industrial. Como esas redes no están conectadas a Internet, los fabricantes no han tenido un especial cuidado con la seguridad. Ahora nos encontramos con un parque tecnológico con menores niveles de protección, pero que se enfrenta a las mismas vulnerabilidades y amenazas.

Otro ejemplo: muchos de los controles de seguridad que utilizamos habitualmente y que están desfasados, como las contraseñas. Aunque están implantados de manera masiva, no son seguros. Las nuevas amenazas y vulnerabilidades probablemente obliguen a cambiar estos mecanismos, pero hacerlo de forma masiva lleva su tiempo. Es responsabilidad de todos, fabricantes y usuarios, el avanzar en esta madurez.

La seguridad es clave cuando hablamos de IoT, movilidad o cloud

Normalmente, en las fases tempranas de una nueva tecnología es cuando afloran los recelos lógicos, que se suman a la falta de la madurez que sería necesaria para garantizar los mecanismos de seguridad adecuados. Estamos en un proceso de evolución constante y la seguridad debe ser un aspecto adicional a la puesta en marcha de cualquier servicio. Toda esa evolución forma parte de la carrera tecnológica y trae consigo retos, junto con los paradigmas de seguridad que hay que ir incorporando.

En la actualidad, ningún proveedor se lanza al mercado con un producto o servicio que no tenga en consideración la seguridad. De hecho, es un driver de adopción. Una empresa no va a migrar sus servicios corporativos a la nube si no tiene la absoluta certeza de que es completamente seguro. Hablo tanto de cloud como también de otras tendencias como IoT o servicios de cualquier tipo. Por ejemplo, desde HPE estamos participando en proyectos tecnológicos muy novedosos, como pueden ser el coche conectado, que aporta enormes beneficios, pero también importantes riesgos de seguridad en todo tipo de aspectos. Estamos incorporando los elementos necesarios para que esas soluciones sean seguras.

Pathfinder

En el cambiante mercado tecnológico actual, la innovación orgánica no es suficiente y la mayoría de las compañías no pueden desarrollar productos al ritmo de las necesidades de los clientes. Para ampliar el ecosistema de innovación, HPE ha diseñado y lanzado Pathfinder, un programa de capital riesgo y asociación con startups. Además de facilitar la inversión, en HPE utilizamos las tecnologías que desarrollan estas startups y las integramos en nuestro porfolio. Vemos Patfinder como un programa de innovación en seguridad, que nos permite estar a la vanguardia en temas como penetration testing, robo masivo de contraseñas o plataformas de inteligencia impulsadas por hackers.

SABER MÁS

Algunas de las grandes tendencias son la supervisión de entidades y el análisis del comportamiento

La estrategia de HPE se basa en dos pilares: hybrid IT e intelligent edge, este último más enfocado a la movilidad, IoT, la interconectividad y a cómo se extienden los servicios hacia el usuario. El año pasado anunciamos la adquisición de Niara, una compañía especializada en tecnologías UEBA (user and entity behavior analytics). Ahora lo llamamos Aruba IntroSpect y es nuestra respuesta de seguridad al reto del intelligent edge.

Básicamente, lo que hace IntroSpect es utilizar inteligencia artificial y machine learning para identificar incidencias de seguridad y eliminar falsos negativos. Recopila información, realiza análisis estadísticos de comportamiento y, cuando identifica algo anómalo, salta una alerta y puede expulsarlo del sistema. IntroSpect es la respuesta frente a estos ataques de nueva generación, para los que las tecnologías tradicionales todavía no están preparadas. ¿Cómo se puede responder ante ataques de zero-day que utilizan vulnerabilidades que todavía no conocen ni los fabricantes? El único modo es analizar el comportamiento en busca de algo anómalo, para reaccionar lo antes posible, antes de que ese ataque tenga éxito. Muchas de las incidencias de seguridad se identifican semanas o incluso meses después de haberse iniciado. Se trata de eso, de reducir el tiempo de identificación y mejorar la respuesta ante incidentes de seguridad.

Además, IntroSpect se integra con Aruba ClearPass, una solución NAC (network access control) que comprueba la seguridad de los dispositivos antes de su admisión en la red, chequeando si tienen instalado el antivirus, si cuentan con una configuración de seguridad específica, si el usuario está identificado en el sistema, etcétera.

Tan pronto aparece una tecnología, alguien va a buscar los puntos débiles o las vulnerabilidades

Por otro lado, está lo relativo a la continuidad y el cumplimiento

Efectivamente, son ámbitos íntimamente ligados a la seguridad. De hecho, para nosotros es muy importante que las infraestructuras de hybrid IT sean resilientes, con el fin de garantizar una elevada disponibilidad tanto en lo que atañe al sistema como desde el punto de vista geográfico. El objetivo es asegurar la continuidad de negocio con una visión completa, en lo que se refiere a la computación, el almacenamiento y las redes.

En lo que respecta al compliance, nuestra aproximación no es hacer un go-to-market directo, aunque sí contamos con profesionales que ayudan en los proyectos de transformación. Esto es importante porque nuestros clientes, como parte de sus RFP, requieren que estos proyectos se adapten a sus propias políticas de seguridad y, lógicamente, también a la legislación vigente y a las regulaciones sectoriales.

En este ámbito, estamos en un momento sin precedentes en lo que respecta a la escala y el ámbito de aplicación de regulaciones como el Reglamento General de Protección de Datos (RGPD), o de directivas tales como la NIS, que entrarán en vigor en poco tiempo.

¿Son asumibles estas inversiones?

Hay que ver la seguridad como un proceso de mejora continua y no como algo puntual. Es necesario incluirla como un principio de diseño, como un aspecto más que se ha de evaluar a la hora de crear un producto o servicio; hacer que esté presente desde la propia conceptualización, porque va a afectar a la forma en la que se ofrece el servicio y puede limitar su desarrollo o potenciarlo, por ejemplo, haciendo que la seguridad —o la privacidad—formen parte de la propuesta de valor.

Si no se tiene en cuenta en esas primeras fases, es posible que esta carencia obligue a retirar el producto después de tenerlo en el mercado (como ha ocurrido con la privacidad y las Google Glass) o que, incorporarla a posteriori, resulte tan caro que casi sea mejor rediseñarlo desde cero. De hecho, el RGPD plantea el concepto de privacy by design como uno de sus requisitos fundamentales.

Pero, en cualquier caso, hay que entender el valor que aporta la seguridad. No hay que verla como un mal necesario o como una inversión similar a un seguro: un modelo de protección que no aporta un retorno real y que es difícil de monetizar. La seguridad debería verse como una propuesta de valor; incorporarla para conseguir una mejor relación con el cliente, para ganar confianza, ampliar la cuota de mercado…

Seguridad a nivel de producto

HPE fabrica equipos en los que la seguridad se posiciona como un aspecto relevante en su diseño. Por ejemplo, nuestros servidores de nueva generación HPE Gen 10 incorporan la exclusiva tecnología silicon root of trust (silicio de confianza). A través de un chip criptográfico no manipulable, se asegura que el firmware es completamente seguro y no está manipulado. De esta manera, los servidores Gen 10 se convierten en los más seguros del mercado.

Que la seguridad forme parte de la campaña de marketing de un producto da una visión muy certera de lo que está reclamando ahora mismo el mercado.

¿Están reñidas eficiencia, agilidad y seguridad?

La seguridad impacta en la puesta en marcha de un servicio, afecta al time-to-market , incrementa los costes… Pero también aumenta la calidad y eso es muy importante cuando hablamos de servicios empresariales o corporativos que buscan ofrecer un valor. Es necesario realizar un análisis. En muchos casos, el beneficio o el retorno de esta inversión está garantizado por los riesgos que implica no considerarla.

Desde el punto de vista de la agilidad, incorporando la seguridad desde las etapas de diseño debemos ser capaces de automatizar, simplificar e integrar este proceso de forma transparente, y hacerlo antes de un despliegue masivo. De lo contrario, el coste del cambio podría ser inviable.

Es muy importante considerar la automatización y la transparencia como propiedades intrínsecas de los productos y servicios que se lanzan al mercado. De hecho, esa es la visión que tenemos como HPE Pointnext desde la perspectiva de la seguridad cuando diseñamos y desarrollamos proyectos de transformación.

La seguridad debe ser un aspecto adicional a la puesta en marcha de cualquier servicio

¿Qué papel desempeña la seguridad en vuestra oferta?

Para este primer año de la nueva HPE, la estrategia de seguridad tiene un papel, si cabe, todavía más relevante. Nuestra propuesta se basa en dos mensajes principales. Uno es Security First, alineado con el convencimiento de que se puede utilizar la seguridad para promocionar y poner en valor los proyectos de transformación que acometemos a partir de nuestros dos grandes ejes: hybrid IT e intelligent edge. La seguridad, entendida desde una visión holística, extremo a extremo, nos va a permitir acercarnos un poquito más al cliente, asegurando que esos proyectos cumplen sus expectativas.

El segundo pilar es embedded security. A través de un modelo que denominamos de building blocks, o bloques de construcción, esta estrategia nos permite incorporar componentes de seguridad en todos los proyectos de transformación. Contamos con una oferta de servicios, o paquetes de trabajo, que podemos integrar en función de las necesidades específicas o para dar respuesta a cumplimientos o normativas. Todo ello de forma flexible y adaptada a los requerimientos que nos planteen.

Además, alineado con nuestro mensaje corporativo HPE Greenlake, estamos trabajando también en la puesta en marcha de servicios en modo suscripción, mediante los que abordamos la seguridad de una manera continua en un modelo de security as a service.

En este escenario, en el que se habla mucho de tecnología, son protagonistas las personas

Para nosotros, la persona es un aspecto clave, muy relevante. De hecho, es el más importante de todos. Da igual lo que nos gastemos en tecnología; al final, el aspecto humano es el que va a conseguir que un servicio sea realmente seguro o no. Siempre, el eslabón más débil de esta cadena es la persona que accede o gestiona el servicio.

Tanto es así que en HPE Pointnext tenemos un área de educación con un especial foco en lo relativo a este ámbito y contamos con un programa de Education Security Awareness. Además, también lo consideramos fundamental para nuestros profesionales en el área de servicios en general, a la hora de formarlos y acreditarlos para cuidar la privacidad de la información y desarrollar su labor en un entorno de seguridad crítico. Actualmente estamos inmersos en un programa para certificar la unidad de servicios en la ISO 27001, a través de un programa de formación para todos nuestros empleados.

Modelo de consumo

El avance en la automatización y los servicios en formato cloud está modificando el modo en el que se consume la tecnología, incluyendo también la seguridad.

En HPE estamos diseñando una oferta de servicios para acomodarnos a las nuevas necesidades de nuestros clientes y, para ello, hemos lanzado al mercado HPE Greenlake, un servicio de consumo de tecnología en formato pago por uso. Greenlake permite a las empresas continuar con planteamientos de despliegue de tecnología on-premise, que combina los beneficios de seguridad y rendimiento con la simplicidad y flexibilidad de una cloud pública. En el último HPE Discover se lanzaron varios servicios que incluyen HPE GreenLake Backup Solution.

IR A LA PUBLICACIÓN

Artículo relacionadosMás del autor